Jump to content
Калькуляторы

windows 2019 и публичный ресурс

Прилетела задача: на windows 2019 создать папку/ресурс и выплюнуть ее в интернет.

Вопрос знатокам, как нынче в 2021 году сделать это безопасно?

 

Share this post


Link to post
Share on other sites

Если "ЕЕ ВЫПЛЮНУТЬ", то создать ограниченную учетку, запустить(права админа не нужны) облако от майл.ру, яндекс-диск или дропбокс и настроить синхронизацию.

 

Если же требуется доступ ИНЕТА К ПАПКЕ, то ftp, наверное.

Share this post


Link to post
Share on other sites

под выплюнуть подразумевал именно доступ из мира к папке.

 

2 часа назад, rz3dwy сказал:

то ftp, наверное.

ftp только на чтение и в клиентской винде прикрутить как сетевой диск?

Была такая идея, но тут еще и запись нужна...

Share this post


Link to post
Share on other sites

@jffulcrum а на 2019 WebDAV поддерживается? IIS вроде закончил жить на 2012.

 

8 минут назад, jffulcrum сказал:

Но по дефолту файлы не более 30 Мб пролазят.

Т.е. это лечиться? нужно чтоб файлы объемом 1-2 гига пролазели.

Share this post


Link to post
Share on other sites
Только что, RN3DCX сказал:

а на 2019 он поддерживается? IIS вроде закончил жить на 2012.

Компонент в системе есть.

 

1 минуту назад, RN3DCX сказал:

Т.е. это лечиться? нужно чтоб пролезало 1-2 гига.

Файлы по 1-2 гига - про DAV можно сразу забыть. Тогда FTP или стройте VPN и гоняйте SMB по VPN.

Share this post


Link to post
Share on other sites
25 минут назад, jffulcrum сказал:

Файлы по 1-2 гига - про DAV можно сразу забыть

Т.е. 30 метров это потолок?

 

25 минут назад, jffulcrum сказал:

Тогда FTP

Есть ли какие-то безопасные best практики.

 

25 минут назад, jffulcrum сказал:

VPN

В т.з. просили без VPN.

Share this post


Link to post
Share on other sites
4 минуты назад, RN3DCX сказал:

Т.е. 30 метров это потолок?

Нет. Если на сервере подправить конфиг, а на клиенте - реестр, пролезают и сотни мегов. Но шансы пролезть гигабайту одним куском малы, вот прям совсем.

 

4 минуты назад, RN3DCX сказал:

Есть ли какие-то безопасные best практики.

Ставится IIS с компонентом FTP. Делается локальная учетка без прав вообще. Делается папка, на нее даются права учетке. В IIS делается сайт FTP на эту папку и указыватся этот пользователь как разрешенный. В общем-то всё, SSL прикрутить еще - импорт сертификата через mmc и правило в привязке и  свойствах FTP сайта.

Share this post


Link to post
Share on other sites

SMB весьма чуствителен к latency. Если большие файлы перекачивать, то, может, взлетит. А если кучу мелких, или постоянный seek по большим, то будет тормозить. Сильно, причём независимо от толщины канала, что затрудняет объяснять пользователям в чём же дело.

 

Я бы завёл специально обученную виртуалку на той-же локации что и w2019, и с одной стороны монтировал бы в неё папку по SMB, а с другой выставлял бы точку монтирования в Инет по SFTP или SSHFS.

 

 

 

Share this post


Link to post
Share on other sites
15 часов назад, RN3DCX сказал:

Прилетела задача: на windows 2019 создать папку/ресурс и выплюнуть ее в интернет.

Вопрос знатокам, как нынче в 2021 году сделать это безопасно?

Никак.

Ну те ты это говно от МС ставишь, там поднимаешь гиперви с нормальным дистром линуха/фри, где у тебя стоит уже готовый дистр который делает домашнее облако со всеми возможными доступами.

За пару часов задача решается если есть опыт держания такого облака дома.

Потом можно выкинуть венду и переехать в другой хост виртуализации без особых проблем :)

 

 

11 часов назад, jffulcrum сказал:

WebDAV <webdav> | Microsoft Docs

 

Но по дефолту файлы не более 30 Мб пролазят. И SSL настоятельно рекомендуется.

 

11 часов назад, jffulcrum сказал:

Файлы по 1-2 гига - про DAV можно сразу забыть. Тогда FTP или стройте VPN и гоняйте SMB по VPN.

http://netlab.dhis.org/wiki/ru:software:nginx:webdav

клиент вебдав в венде в семёрке был полным говном, и видимо таким и остался.

Лимит там 4ГБ на файл и видимо это хардкод от DWORD = uint32_t с давних времён.

Этот дебильный клиент любой файл скачивает к себе в системный темп целиком и потом отдаёт хэндл приложению, а потом видимо закачивает обратно если что то поменялось.

Share this post


Link to post
Share on other sites
5 часов назад, Ivan_83 сказал:

Никак.

Ну те ты это говно от МС ставишь, там поднимаешь гиперви с нормальным дистром линуха/фри, где у тебя стоит уже готовый дистр который делает домашнее облако со всеми возможными доступами.

За пару часов задача решается если есть опыт держания такого облака дома.

Потом можно выкинуть венду и переехать в другой хост виртуализации без особых проблем :)

 

Иван, где конкретика? Какое облако?

Нахрена мне домашнее облако для энтерпрайза?

 

Давай пруф в студию!

Share this post


Link to post
Share on other sites
22 часа назад, dmp.user сказал:

SMB security enhancements

SMB сам по себе безопасен, а вот авторизация - не очень, если нет домена. Плюс, опасность представляет сам открытый порт 445 - дырок, увы много, хоть последние в удалённой печати пачка. Есть SMB over QUIC | Microsoft Docs. Но это бета. И наверняка тоже со всякими печалями.

 

 

Вариант - подписка на Office365 с OneDrive Business. Дают терабайт на организацию. Но эвто облако, просто можно синхронизировать папки между сервером и клиентами через него. Можно вариант с Sharepoint, но это целая история, и не тот продукт, что может жить без присмотра и ухода.

 

Суровый вариант - iSCSI. Но защита только chap-пароль, плюс с говёным каналом там делать нечего, и вообще желателен IPv6. 
 

 

Share this post


Link to post
Share on other sites
21 час назад, RN3DCX сказал:

Нахрена мне домашнее облако для энтерпрайза?

Ну не помню я названий дистров для этого всего, сам погугли.

Основная идея что венду нахер с её убожеством, но формально она типа есть и типа работает.

 

https://www.tecmint.com/free-open-source-cloud-storage-tools-for-linux/

https://www.geckoandfly.com/24024/self-hosted-cloud-storage/

https://www.ubuntupit.com/best-cloud-storage-for-linux-reviewed-and-compared-for-linux-nerds/

https://www.slant.co/topics/4505/~self-hosted-cloud-storage-solutions

 

Кажется nextcloud советовали, но можно ещё повыбирать.

Может что то даже под венду нативно работает, но я бы не связывался, вертуалку хотя бы бэкапить и переносить легко, в отличии от венды.

Share this post


Link to post
Share on other sites

Непонятно зачем винда, ну да ладно.

minio s3 поставьте, модно стильно, молодежно, есть s3, можно смотреть из браузера, настраиваются доступы на каталоги и юзеры. Совместимо со многими облачными клиентами.

Поставили бы linux samba, да через фаервол оставили бы доступ только для нужных адресов, ресурсов нужно минимум, а тут целая винда голой ж в интернет.

Edited by naves

Share this post


Link to post
Share on other sites
58 минут назад, naves сказал:

Непонятно зачем винда, ну да ладно.

Это первоначальное Т.З.

 

53 минуты назад, naves сказал:

а тут целая винда голой ж в интернет

Вот в том то и дело... Поэтому и написал как нынче в 2021 году сделать это безопасно?

 

1 час назад, naves сказал:

Поставили бы linux samba, да через фаервол оставили бы доступ только для нужных адресов

Мысль хорошая, да большинство работает с динамических ip-ов.

Share this post


Link to post
Share on other sites

Ок, если с виндой дело бесперспективное, буду аргументированно менять Т.З. на linux/unix.

Тут тоже прошу посоветовать как безопаснее дать доступ из мира к ресурсу?

Share this post


Link to post
Share on other sites

Вы так и не сказали, какие у вас клиенты будут подключаться.

Самый безопасный, наверное, через ssh клиентом типа filezilla или winscp, авторизация по ssh-ключам.

Ну или как выше говорили, ставьте nextcloud, там и браузер и версионирование и всякие плагины для совместной работы.

Share this post


Link to post
Share on other sites

А еще про размеры, количество, нагрузку и вообще ... 10000 одних курьеров блогоров грузящих HD ролики по пол часа или 1.5 калеки заливающих текстовые файлики раз в 1.5 недели предполагает совершенно разные решения.. Я конечно грузил в некстклауд 60г файлы после некоего тюнинга, но не надо некстклауд к таким задачам, а вот под фоточки с телефона или не шибко большое видео очень даже неплохо.... ну и паралельная закачка-скачка сотней человек в некстклауде, то еще решение, всётаки пых он сильно жрёт ресурсы на каждый воркер, а файлы в обе стороны оно через пых отдаёт. а в тот же фтп сотнями параллельных закачек обычно ничего.. но многие любят мышевозяканье и приложеньку с автосинком.. опять же как права раздавать.. тот же некстклауд дружится с АД или через лдап или через SAML на ура.. не виндовый ФТП, умеющbй юзеров из АД, сначала придётся найти (нет, скорее всего он есть, как минимум ЛДАП в PAM линуксы могут, многие ФТП сервера умеют авторизацию в PAM)..если вообще это надо, конечно..

Share this post


Link to post
Share on other sites
В 15.09.2021 в 10:52, RN3DCX сказал:

Ок, если с виндой дело бесперспективное, буду аргументированно менять Т.З. на linux/unix.

Тут тоже прошу посоветовать как безопаснее дать доступ из мира к ресурсу?

веб сервис с доступом к файлам и спрятать сервер за cloudflare

Share this post


Link to post
Share on other sites
18 часов назад, naves сказал:

Самый безопасный, наверное, через ssh клиентом типа filezilla или winscp, авторизация по ssh-ключам.

Вендузятникам бы только страданий.

sshfs - вещь!

 

 

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now